분기별 비즈니스 보고서에 보안 위반 데이터를 포함해야 합니까? ISACA(Information Systems Audit and Control Association)는 확실히 그렇게 생각하는 것 같습니다. 영국 정보 위원회에 위반 사항을 보고할 법적 의무는 아직 없습니다. (ICO).
그러나 2010년 4월 6일부터 ICO는 개인 데이터의 "의도적 또는 부주의한" 손실로 이어지는 부적절한 보안에 대해 최대 £500,000의 벌금을 부과할 수 있는 권한을 가졌습니다.
보고에 대한 법적 요구 사항의 부족과 벌금에 대한 두려움을 결합하여 소수의 회사가 나서는 것은 놀라운 일이 아닙니다.
무엇보다도 위험 인증을 관리하는 비영리 IT 보안 조직인 ISACA는 다음과 같이 말합니다. 얼마나 많은 데이터가 손실되고 있는지 알아야 하며 ICO에 대한 모든 위반에 대한 의무 보고가 달성될 것이라고 믿습니다. 저것.
그들과 우리
2006년에 나는 처음으로 올해의 IT 보안 저널리스트로 선정되었으며, 나의 첫 번째 공식 업무 중 하나는 시중 은행, 정부 및 대기업: 제 주제는 보안 문제에 대해 미디어와 비즈니스 간의 더 나은 관계를 구축해야 하는 필요성이었고 다음 주제에 대한 토론에 집중했습니다. 폭로.
4년 전에는 "그들과 우리" 시나리오였습니다. 회의실 밖으로 빠져나가는 위반 사례, 회사 내부에서 위반 냄새가 풍길 때마다 언론은 열광적이었습니다. 방향.
저는 기업이 위반 사실을 공개하고 레드 탑 타블로이드 선정주의 없이 보고할 수 있는 지점에 도달하려면 양측 사이에 더 많은 신뢰가 필요하다고 제안했습니다.
전반적으로 보안 저널리즘이 보안 침해를 더 많이 보고할 만큼 충분히 성숙했다고 말할 수 있어 기쁩니다. 하지만 너무 많은 회사들이 여전히 최초 공개를 매우 꺼려합니다. 장소.
오해하지 마세요. 저는 보안 컨설턴트의 모자와 기자의 모자를 쓰고 비즈니스 보안 문화를 이해합니다. 즉, 저는 보안이나 고객 개인 정보 보호에 관심이 없는 회사로서 노출에 대한 깊은 두려움과 평판 위험에 대해 모두 알고 있습니다.
많은 회사는 공개할 법적 요구 사항이 없음에도 불구하고 여전히 ICO의 큰 재정적 불이익을 상당히 두려워합니다.
또한 많은 회사들이 법적 공개 요건이 없음에도 불구하고 여전히 ICO의 큰 재정적 불이익을 상당히 두려워하고 있음을 알고 있습니다.
내가 컨설팅 거래를 하는 SME 규모의 작은 끝에서 이러한 두려움은 순전히 재정적 결과에 의해 발생합니다. 6자리 수의 벌금이 부과될 수 있으며, 경기 침체에서 벗어나기 위해 고군분투할 때 실제로 기업의 무너지다.
기업 규모의 더 큰 끝에서 그것은 완전히 다른 유형의 두려움이지만 너무 강력해서 여기에서 냄새를 맡으십시오. 그것은 평판, 브랜드 손상 및 경쟁 측면에서 의미하는 모든 것입니다. 불리.
500,000파운드 규모의 Insecurity Fine Club의 창립 멤버가 될 것이라는 부정적인 홍보와 함께 ICO의 큰 막대기로 가장 먼저 타격을 받고 싶어하는 거물은 없습니다.
영리한 돈 – 그리고 나는 현실 세계에서 이에 대한 많은 증거를 보았습니다 – 따라잡기 위해 할 수 있는 모든 것을 하는 정통한 IT 부서에 비용을 지불합니다. 최신 위협과 함께하지만 불행히도 경기 침체로 인해 일부 회사가 보안을 동결해야 한다는 많은 증거를 보았습니다. 예산.
